こんにちは、私の質問は、サードパーティ(クライアントインフラストラクチャ)の可能性のある結果に非常に長い間コールセンター管理ルートVLANが所有されており、コールセンターVTPドメインにはパスワードが有効になっていないため、コールセンターが何らかの攻撃にさらされているかどうかを知っています。

ルート ブリッジを変更し、スイッチ コアに VLAN ルート ブリッジ管理を提供するために、STP 変更管理が承認されました (ただし、実装する日が保留されています)。

ありがとうございました

ご意見ありがとうございます。

こんにちは@patramirezort、

VTPバージョン2を使用する場合は、VTPドメインの保護のためのパスワードをusindは、私が提案し、それが追加することができるものです。

パスワードを追加するための変更はメンテナンス期間を必要としますが、展開中に実際の影響はありません

最後に、すべてのスイッチが再び同じVPドメイン内にあるが、ハッシュ(私が正しく覚えているなら16バイト)であることを確認することができます。

VTP バージョン 3 への移行を長期にする場合、VTP データベースを変更できるリビジョン番号が大きい不正スイッチの問題が解消されるので、セキュリティに最適です。

VTP バージョン 3 に移行する前にコイウルスのを使用して確認する必要があります。

vtp ステータスを表示する

すべてのスイッチが VTP バージョン 3 をサポートしていること。

これはより大きな変化になりますが、長期的には賢明な動きです。

助けることを望む

ジョセフ

ジョセフ

また 、@patramirezort がネットワークでVTPを積極的に使用している場合は、パスワードで保護するのが最善であることに同意します。同時に、VTPの欠陥を知って、私は個人的にVTPから完全に離れてミグを考えるお勧めします。ネットワーク サイズが小さい場合 (スイッチのほんの一部)、VLAN の追加や削除が頻繁に行われない場合、VTP を実行してもメリットはほとんどありません。そのような場合は、VTP を完全に無効にする (または少なくともトランスペアレント モードに移動する) 方が安全です。

VTP パスワードを設定するためのメンテナンス ウィンドウの必要性については、私は丁重に反対します。VTP パスワードの設定は、無停止操作です。VTP パスワードの不一致は、VLAN データベースへの変更が別の VTP パスワードを使用してスイッチによって受け入れられませんが、既存の VLAN は消えません - そのまま残ります。唯一の本当のリスクは、VTP プルーニングです。VTP プルーニングがオンの場合、パスワードの不一致により、ブロードキャスト/不明ユニキャスト/マルチキャスト(BUM)トラフィックのブラックホールが発生する可能性があります。

よろしくお願いいたします
ペテロ

こんにちはピーター,

>> VTP パスワードを設定するためのメンテナンス ウィンドウの必要性については、私は丁重に反対します。

はい、技術的な観点からは、VTP パスワードの展開に影響を与えるべきではありません。

私は私が書くべき間違った方法で私の考えを表現しました:

「パスワードを追加する変更は、展開中に実際の影響がないため、メンテナンスウィンドウを必要としません。しかし、会社での変更管理のしくみ(ITILポリシーなど)によっては、あなた(=元のポスター)が要求する方が慰めになるかもしれません。

VTP トランスペアレント モードへの移行は、可能なアドバイスであり、ネットワークが VLAN の安定したセットで小さい場合や、ネットワークの自動化が IT によって使用される場合に VLAN を作成および削除する必要がある大規模な環境でも、この方法は適しています。

元のポスターの管理下にあるスイッチの数はわかりません。新しい VLAN が新規顧客のために追加されると考えられる複数の顧客にサービスを提供するコンタクト センターである VLAN のセットは安定していると仮定できます。

しかし、それ以上言うのは難しいです。

助けることを望む

ジョセフ

私はちょうど数年前に、VTPプルーニングで生産の問題に遭遇し、追加したかった。 VLAN が数分間動作する本番ネットワークの一部を持ち、その後動作を停止しました。 私は問題を見つけ、それを解決しました。

完全な詳細を思い出さないでください, しかし、それはVTPと剪定によるものでした. シスコは正常に動作していた、つまりバグではありませんでしたが、VTP が実際に VLAN 情報をプルーニングするのにかかる時間の様々なタイマーに何らかの形で関連していました。 私は(?)それはVTP(クライアント[またはサーバー]として)を実行していなかったスイッチ、横断的な原因があると思います。

個人的にはVTPが好きですが、従来の(そして不注意な)運用ネットワークに前のラボスイッチを追加することで、本番ネットワーク全体のVLANが落とされているのを見てきました。 (ところで、少なくともその1つでは、それは私ではありませんでした。

VTPは、私にとって「マッチ」のようなものです。 非常に便利ですが、不注意な場合は火傷を負います。

私はそれを使用していませんが、VTPv3の読み取りは、以前のVTPバージョンで起こり得る「古典的な」「事故」のほとんどに対処しています。

ああ、私は確かに思い出しませんが、VTP v1またはv2、パスワードはクリアテキストで渡されるかもしれません。 つまり、超強力なセキュリティオプションではありませんが、安全なVTP操作を保証するための別の「セーフガード」であり、実際のVTPドメインの定義と一緒に使用することをお勧めします。 「事故」を排除するために両方を設定します。

こんにちは @Joseph W. ドハティ ,

ラボの再構築を避けるために、ハイガー リビジョン番号を持つスイッチを追加する可能性のある事故をラボでテストしただけで、新しい VLAN を追加して VLAN DB を更新できたことを実証しました。

>>私は確かに思い出しませんが、VTP v1またはv2、パスワードはクリアテキストで渡されるかもしれません。

私の理解では、パスワードは少なくともVTPバージョン2でMD5ハッシュを作成するために使用されます。

今すぐMD5は壊れると見なされますが、少なくともパスワードはクリアテキストで送信されません。

VTPv3 は本当に大きな改善であり、MST と組み合わせることができ、追加のデータベースを使用すると、VLANS を MST インスタンスマッピングに広告表示できるため、変更が発生した場合のライフを簡単にします。

VTPv3 では、プライマリ サーバのみが VLAN データベースに変更を加えることができ、これにより古いバージョンのすべての問題が解決されます。

助けることを望む

ジョセフ

こんにちは

ベストプラクティスの推奨事項をもう一度ありがとうございます。

よろしく

パトリシア

良い一日ジュゼッペ,

VTP のベストプラクティスに関する推奨事項をありがとうございます。

パトリシア